Pewnego dnia, a było to w maju 2016 roku, Niemka o imieniu Marion włączyła jak zwykle swój komputer. Jednak nie miała pojęcia, jaką los przygotował dla niej niespodziankę.
Pierwszą oznaką kłopotów było to, że komputer nie uruchomił się normalnie i nie mogła dostać się do pulpitu. Nie pomogło nawet ponowne uruchomienie. Następnie na ekranie zobaczyła komunikat z żądaniem okupu. Nie ma pojęcia, jak doszło do infekcji. Nie zauważyła w ostatnim czasie nic podejrzanego, podobnie jak pozostali domownicy, którzy również korzystali z tego komputera.
Wyglądało to tak:
Pojawienie się ransomware
Ransomware to problem, który od kilku lat wykazuje tendencję wzrostową i nie zanosi się na to, że coś się w tej kwestii zmieni. Wszyscy wiemy, jak ważne jest regularne wykonywanie kopii zapasowych, nieotwieranie podejrzanych wiadomości e-mail, korzystanie z najlepszych programów zabezpieczających itp. Lecz mimo to wszystko może się zdarzyć: nagle może się okazać, że nie możesz skorzystać ze swoich danych na komputerze, zasobów sieciowych czy dysków twardych.
Nie możesz uodpornić swojego komputera na zagrożenia w stu procentach, chyba że odłączysz go od internetu, usuniesz napęd CD, złącze USB itp. Ale w dzisiejszym świecie, coraz bardziej połączonym z internetem, nie jest to praktyczne podejście. Najwyższy czas nauczyć się zarządzać ryzykiem i znaleźć własny balans między wygodą, bezpieczeństwem a prywatnością.
Jeśli zostaniesz ofiarą ataku ransomware, musisz wiedzieć, że wszystko, co możesz zrobić, nie ogranicza się jedynie do podjęcia decyzji: zapłacić, czy nie. Jest przecież więcej opcji.
Może się okazać, że odzyskanie danych nie jest łatwym zadaniem. Atakujący naprawiają swoje „błędy”, dzięki którym takie firmy jak Kaspersky Lab i jej partnerzy są w stanie tworzyć narzędzia do odszyfrowania plików zajętych przez różne warianty ransomware. Istnieje coraz więcej odmian coraz bardziej wyszukanych programów żądających okupu, a przywracanie plików często wymaga uzyskania od przestępców kluczy prywatnych.
Przywracanie danych
Ponieważ dzień zapowiadał się nieciekawie, Marion wyłączyła komputer i poprosiła o pomoc osoby z działu IT ze swojej pracy. Udało im się uzyskać wszystkie istotne informacje: wiadomość o okupie, zajęte pliki na dysku, a nawet niektóre obrazy i pliki PDF sprzed chwili zaszyfrowania i już te zmienione. Wypróbowali wszystkich dostępnych narzędzi, lecz plików wciąż nie udawało im się odszyfrować.
Wówczas Marion przypomniała sobie, że na dysku twardym znajdowało się archiwum zdjęć rodzinnych z ostatnich dziesięciu lat: okazje specjalne, posegregowane w foldery i zorganizowane wg daty. Co ciekawe, nie wszystkie były całkowicie niedostępne.
Marion nie miała kopii zapasowej na nośniku zewnętrznym, ale jednego była pewna: nie miała zamiaru płacić cyberprzestępcom ani grosza.
Kobieta skontaktowała się z osobami, którym udostępniła swoje zdjęcia, i poprosiła o przesłanie jej tych plików z powrotem. W ten sposób udało jej się odzyskać jakąś ich część, choć większość pozostawała niedostępna.
Z pomocą działu IT zaczęła szukać pomocy w internecie, lecz wszystkie metody okazywały się być bezskuteczne. Zaczęła opowiadać tę historię swoim znajomym. W końcu opublikowała na Facebooku post z prośbą o pomoc, a nawet zaoferowała nagrodę pieniężną w wysokości 500 euro dla osoby, która pomoże jej odzyskać pliki bez konieczności zapłacenia przestępcom.
Na jej post odpowiedziało około 20 osób. Mimo prób nikomu nie udało się odzyskać plików.
Czas na No More Ransom
W tym miejscu historia dociera do mnie. Mój kolega ze szkoły wskazał mi post Marion, a ponieważ wiedział, czym się zajmuję w zespole GReAT Kaspersky Lab, włączył mnie w tę sprawę.
Skontaktowałem się z Marion, która podała mi wszystkie potrzebne informacje. Zaczął szukać narzędzi, dzięki którym możliwe byłoby odszyfrowanie plików. Okazało się jednak, że Marion rzeczywiście trafiła na nowy wariant tego szkodliwego programu.
Zwróciłem się o pomoc do naszych specjalistów zwalczających programy żądające okupu. Szybko potwierdzili moje obawy: była to nowa odmiana CryptXXX V3, lecz dowiedziałem się, że nie ma jeszcze dostępnego narzędzia, dzięki któremu możliwe byłoby odszyfrowanie plików. Gdy przekazywałem te nieciekawe informacje Marion, poprosiłem ją jednocześnie, aby nie płaciła okupu — ponieważ wtedy atakujący utworzą nowe ransomware, a my współpracujemy z organami ścigania i innymi partnerami w celu utworzenia narzędzi deszyfrujących oraz uzyskania kluczy prywatnych przechowywanych przez cyberprzestępców na ich serwerze kontroli.
Udało nam się dzięki projektowi No More Ransom. Latem 2016 roku Europol, Kaspersky Lab i Intel Security uruchomili portal NoMoreRansom.org, aby pomóc ofiarom ransomware przywrócić ich pliki, a także aby przerwać lukratywny model biznesowy, dzięki którym cyberprzestępcy wracają po więcej. Obecnie projekt posiada 40 partnerów.
20 grudnia dodaliśmy na stronę No More Ransom kolejne narzędzie deszyfrujące przeznaczone dla programu CryptXXX V3. Podobnie jak inne narzędzia ransomware, które się tam znajdują, jest ono dostępne za darmo.
Wciąż pamiętałem o przypadku Marion, dlatego skontaktowałem się z nią na Facebooku i powiedziałem jej o nowym narzędziu. Kilka dni później poinformowała mnie, że udało się jej przywrócić wszystkie zablokowane pliki! (Oczywiście nie wziąłem od niej pieniędzy.)
Czego się nauczyliśmy
Zapytałem Marion, czego nauczył ją ten incydent.
Oprócz regularnego tworzenia kopii zapasowych swoich plików na dyskach zewnętrznych, Marion ostrożniej surfuje w Sieci i zawsze sprawdza, czy ma zainstalowane najnowsze poprawki bezpieczeństwa. Co więcej, nie zezwala już innym osobom na korzystanie ze swojego komputera.
Historia ta pokazuje nam, że sami zarządzamy ryzykiem: to my jesteśmy odpowiedzialni za właściwą higienę komputera, właściwe korzystanie z Sieci, strzeżenie naszej prywatności i rzeczy osobistych. Lecz jeśli coś pójdzie nie tak, pamiętaj, że nie musisz zastanawiać się, czy zapłacić okup. Pierwszym miejscem, do którego warto zajrzeć, jest strona NoMoreRansom.org — możesz odzyskać swoje pliki i nie zapłacić za to ani grosza. A jeśli nie istnieje jeszcze rozwiązanie Twojego problemu, nie poddawaj się, daj sobie więcej czasu.
Marion to tylko jedna z beneficjentek projektu No More Ransom, który na chwilę obecną udostępnił siedem darmowych narzędzi deszyfrujących. Swoje pliki odszyfrowało już pięć tysięcy użytkowników, którzy zaoszczędzili łącznie 1,5 miliona dolarów.